Reguladores dos EUA libera regras finais para os bancos sobre como oferecer custódia de criptografia
O Federal Reserve, a Federal Deposit Insurance Corporation e o escritório do controlador da moeda estabeleceram oficialmente novas instruções sobre como os bancos podem lidar com serviços de custódia de criptografia sem quebrar nenhum limite regulatório.
As agências, agindo sobdent do Presidente Donald Trump, emitiram uma declaração conjunta na segunda -feira, explicando exatamente como os credores tradicionais deveriam gerenciar a Crypto Holdings para seus clientes.
De acordo com o comunicado revisado pela Cryptopolitan, essas novas instruções substituem avisos e restrições anteriores que dificultaram a entrada de bancos no mercado de criptografia.
A atualização ocorre apenas alguns meses depois que os reguladores recuperaram as orientações anteriores sobre riscos relacionados a criptografia em abril e revogaram a diretiva de 2022 que forçaram os bancos a notificar os reguladores com antecedência antes de se envolver em qualquer atividade criptográfica.
A partir de agora, as operações de criptografia serão monitoradas como parte da supervisão de rotina, como qualquer outro negócio bancário. As agências alertaram que qualquer banco que entra na custódia de criptografia deve entender o que está entrando e criar sistemas que podem lidar com isso.
Os reguladores exigem sistemas internos estritos antes do início da custódia
Os reguladores deixaram claro que a criptografia de segurança significa ter controle das chaves criptográficas que dão acesso a esses ativos e que o controle deve atender a todas as leis e regulamentos relevantes.
Antes de lançar serviços de custódia, espera -se que os bancos avaliem como essas operações se encaixam em seu perfil e estratégia gerais de risco. Eles precisam conhecer a tecnologia, manter -se atualizado sobre as práticas do setor e se preparar para surpresas.
"Uma avaliação de risco eficaz consideraria coisas como os principais riscos financeiros da organização bancária, dada a direção estratégica e o modelo de negócios", disseram as agências em seu comunicado conjunto.
Todo funcionário, seja sentado na suíte C ou trabalhando nele, deve ter o treinamento e o conhecimento operacional para executar adequadamente os serviços de custódia de criptografia. A declaração acrescentou que todas as partes do banco devem poder "estabelecer capacidade operacional adequada e controles apropriados para conduzir a atividade de maneira segura e sólida". Sem essa base, eles simplesmente não têm permissão para oferecer esses serviços.
As diretrizes também exigem planos de contingência. Isso significa ter um plano real quando os sistemas quebram ou se um custódia de criptografia falhar. Isso não é opcional. Ele deve ser incorporado na configuração do banco desde o primeiro dia. As agências disseram que toda a estrutura deve ser flexível o suficiente para se adaptar à paisagem criptográfica em rápida mudança. O que funciona hoje pode não funcionar amanhã.
Os bancos podem usar ajuda externa, mas permanecem totalmente responsáveis
Os bancos podem trabalhar com empresas de terceiros para lidar com a proteção de criptografia-como o uso de sub-custódia ou fornecedores de tecnologia. Mas a declaração enfatizou que os bancos ainda terão toda a responsabilidade. "Sujeito aos termos e condições do Contrato do Cliente, uma organização bancária é responsável pelas atividades realizadas pelo sub-custódico", disseram os reguladores.
Essa responsabilidade cobre tudo, a partir do qual os ativos de criptografia que o banco apoia para a forma como a tecnologia do sub-custódico funciona. Mesmo que o terceiro esteja fazendo a maior parte do trabalho, o banco deve fazer a devida diligência antes do tempo.
Isso significa verificar como as chaves são criadas, armazenadas e excluídas, e confirmando que o sub-custódico usa as salvaguardas dotronG. Espera-se também que os bancos analisem o que aconteceria com os ativos dos clientes se o sub-custódico for falido ou sofrer problemas operacionais.
Os reguladores também abordaram outra configuração comum: quando um banco lida com a custódia internamente, mas ainda usa tecnologia de terceiros. Seja software, hardware ou qualquer coisa, os bancos devem avaliar os riscos.
Isso inclui decidir se é mais seguro construir seus próprios sistemas ou confiar nas ferramentas de outra pessoa. O comunicado dizia: "Gerenciamento eficaz de riscos ... geralmente incluirá a ponderação dos riscos de comprar software ou hardware de terceiros, em relação à manutenção desse software ou hardware como serviço".
A auditoria também fez a lista de requisitos. As agências disseram que os bancos devem criar programas de auditoria especificamente para suas operações de custódia de criptografia. Isso inclui a revisão dos processos de geração, armazenamento e exclusão de chaves, verificação de controles de transferência e verificação se os sistemas de TI atendem aos padrões de segurança. Essas auditorias também devem avaliar se os funcionários têm as habilidades para gerenciar riscos relacionados a criptografia-e, se não, a ajuda externa deve ser trazida.
"Quando a experiência em auditoria não existe dentro da organização bancária, a gerência deve envolver os recursos externos apropriados, com independência suficiente, para avaliar as operações de proteger de criptografia", disseram as agências.
Principais diferenças : os projetos de criptografia de ferramenta secreta usam para obter cobertura de mídia garantida
Artigos Recomendados
